防火墻必須演進，才能夠更主動地阻止新威脅(例如僵尸網(wǎng)絡(luò)和定位攻擊)。隨著攻擊變得越來越復(fù)雜，企業(yè)必須更新網(wǎng)絡(luò)防火墻和入侵防御能力來保護業(yè)務(wù)系統(tǒng)。

不斷變化的業(yè)務(wù)流程、企業(yè)部署的技術(shù)，以及威脅，正推動對網(wǎng)絡(luò)安全性的新需求。不斷增長的帶寬需求和新應(yīng)用架構(gòu)(如Web2.0)，正在改變協(xié)議的使用方式和數(shù)據(jù)的傳輸方式。安全威脅將焦點集中在誘使用戶安裝可逃避安全設(shè)備及軟件檢測的有針對性的惡意執(zhí)行程序上。在這種環(huán)境中，簡單地強制要求在標準端口上使用合適的協(xié)議和阻止對未打補丁的服務(wù)器的探測，不再有足夠的價值。為了應(yīng)對這些挑戰(zhàn)，防火墻必須演進為被著名市場研究公司Gartner稱之為“下一代防火墻(NextGenerationFirewall，簡稱NGFW)”的產(chǎn)品。如果防火墻廠商不進行這些改變的話，企業(yè)將要求通過降價來降低防火墻的成本并尋求其他安全解決方案來應(yīng)對新的威脅環(huán)境。

一、什么是NGFW?

對于使用僵尸網(wǎng)絡(luò)傳播方式的威脅，第一代防火墻基本上是看不到的。隨著面向服務(wù)的架構(gòu)和Web2.0使用的增加，更多的通信通過更少的端口(如HTTP和HTTPS)和使用更少的協(xié)議傳輸，這意味著基于端口/協(xié)議的政策已經(jīng)變得不太合適和不太有效。深度包檢測入侵防御系統(tǒng)(IPS)的確是檢查針對沒有打補丁的操作系統(tǒng)和軟件的已知攻擊方法，但不能有效地識別和阻止應(yīng)用程序的濫用，更不要說應(yīng)用程序中的特殊性了。

Gartner將網(wǎng)絡(luò)防火墻定義為在不同信任級別的網(wǎng)絡(luò)之間實時執(zhí)行網(wǎng)絡(luò)安全政策的聯(lián)機控制。Gartner使用“下一代防火墻”這個術(shù)語來說明防火墻在應(yīng)對業(yè)務(wù)流程使用IT的方式和威脅試圖入侵業(yè)務(wù)系統(tǒng)的方式發(fā)生變化時應(yīng)采取的必要的演進。

NGFW至少具有以下屬性：

1．支持聯(lián)機“bump-in-the-wire”配置，不中斷網(wǎng)絡(luò)運行。

2．發(fā)揮網(wǎng)絡(luò)傳輸流檢查和網(wǎng)絡(luò)安全政策執(zhí)行平臺的作用，至少具有以下特性：

（1）標準的第一代防火墻能力：包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、狀態(tài)性協(xié)議檢測、VPN等等。

（2）集成的而非僅僅共處一個位置的網(wǎng)絡(luò)入侵檢測：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動效果應(yīng)當大于這兩部分效果的總和。例如提供防火墻規(guī)則來阻止某個地址不斷向IPS加載惡意傳輸流。這個例子說明，在NGFW中，應(yīng)該由防火墻建立關(guān)聯(lián)，而不是操作人員去跨控制臺部署解決方案。集成具有高質(zhì)量的IPS引擎和特征碼，是NGFW的一個主要特征。

（3）應(yīng)用意識和全?？梢娦裕鹤R別應(yīng)用和在應(yīng)用層上執(zhí)行獨立于端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò)安全政策。例子包括允許使用Skype，但關(guān)閉Skype中的文件共享或始終阻止GoToMyPC。

（4）額外的防火墻智能：防火墻收集外來信息來做出更好的阻止決定或建立優(yōu)化的阻止規(guī)則庫。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。

3．支持新信息饋送和新技術(shù)集成的升級路徑來應(yīng)對未來的威脅。

舉個例子，NGFW可以阻止細粒度的網(wǎng)絡(luò)安全政策違規(guī)或發(fā)出報警。如使用Web郵件、匿名服務(wù)器、對等網(wǎng)絡(luò)技術(shù)或PC遠程控制，只簡單地根據(jù)目的IP地址來阻止對提供這些服務(wù)的已知源地址的訪問是不夠的。政策的顆粒度要求僅阻止某些類型的應(yīng)用與目的IP地址的通信，而允許其他類型的應(yīng)用與這些目的IP地址通信。轉(zhuǎn)向器使確定的黑名單不可能實現(xiàn)，這意味著有許多NGFW可以識別和阻止不受歡迎的應(yīng)用，即使這些應(yīng)用被設(shè)計為逃避檢查或用SSL加密。應(yīng)用識別的一個額外好處是帶寬控制。因為，消除了不受歡迎的對等網(wǎng)絡(luò)傳輸流可以大大減少帶寬的使用。

二、什么不是NGFW?

現(xiàn)在有一些與NGFW相近，但不相同的基于網(wǎng)絡(luò)的安全產(chǎn)品領(lǐng)域：

1．中小企業(yè)多功能防火墻或UTM設(shè)備：這類設(shè)備是提供多種安全功能的單一設(shè)備。盡管它們總是包含第一代防火墻和IPS功能，但它們不提供應(yīng)用意識功能，而且不是集成的、單引擎產(chǎn)品。它們適合于在分支辦事機構(gòu)中節(jié)省費用，適用于較小的公司，但它們不能滿足大型企業(yè)的需要。這類產(chǎn)品包括與低質(zhì)量IPS搭配的第一代防火墻，其深度檢查和應(yīng)用控制特性，只不過同時出現(xiàn)在一臺設(shè)備中，而不是緊密的集成。

2．基于網(wǎng)絡(luò)的數(shù)據(jù)丟失防御(DLP)設(shè)備：這類設(shè)備執(zhí)行對網(wǎng)絡(luò)傳輸流的深度包檢查，但將重點放在檢測以前識別的數(shù)據(jù)類型是否經(jīng)過檢查點。它們在執(zhí)行數(shù)據(jù)安全政策時沒有實時要求，不能執(zhí)行線速網(wǎng)絡(luò)安全政策。

3．安全Web網(wǎng)關(guān)(SWG)：這類設(shè)備側(cè)重于通過集成的URL過濾和Web殺毒，執(zhí)行出站的用戶訪問控制和進站的惡意軟件防御。它們側(cè)重于在“使用任意協(xié)議的任意源到任意目的地”基礎(chǔ)上，執(zhí)行以用戶為中心的Web安全政策，而不是網(wǎng)絡(luò)安全政策。

4．消息安全網(wǎng)關(guān)：這類設(shè)備重點放在執(zhí)行容忍延時的出站內(nèi)容政策和執(zhí)行入站防垃圾郵件和防惡意軟件上，它們不執(zhí)行線速網(wǎng)絡(luò)安全政策。

盡管這些產(chǎn)品可能基于網(wǎng)絡(luò)并使用類似的技術(shù)，但它們執(zhí)行屬于企業(yè)內(nèi)不同運營部門的責任和權(quán)力的安全政策。Gartner認為，在IT和安全組織責任從根本上改變之前，這些領(lǐng)域不會融合在一起。

NGFW也不是“身份防火墻”，不是一種基于身份的訪問控制機制。在多數(shù)環(huán)境中，網(wǎng)絡(luò)安全部門沒有在應(yīng)用層上執(zhí)行基于用戶的訪問控制政策的責任和權(quán)力。Gartner認為，NGFW將能夠通過部門級合并身份信息來做出更好的網(wǎng)絡(luò)安全決定，但它們一般將不用于執(zhí)行細粒度的用戶級執(zhí)行決定。

三、NGFW將逐漸成功

目前，有一些已經(jīng)將他們的產(chǎn)品升級為提供應(yīng)用意識和一些NGFW特性的防火墻和IPS廠商，以及一些關(guān)注NGFW能力的新興公司。隨著防火墻和IPS更新周期的自然到來，或者隨著帶寬需求的增加和隨著成功的攻擊，促使更新防火墻，大企業(yè)將用NGFW替換已有的防火墻。Gartner認為不斷變化的威脅環(huán)境，以及不斷變化的業(yè)務(wù)和IT流程將促使網(wǎng)絡(luò)安全經(jīng)理在他們的下一個防火墻/IPS更新周期時尋找NGFW。NGFW廠商成功的關(guān)鍵將是以同樣或略高于第一代防火墻的價格，提供包含第一代防火墻和IPS特性的NGFW。

目前僅有不到1%的Internet連接采用NGFW來保護。Gartner認為，到2014年底，這個比例將增加到占安裝量的35%，60%新購買的防火墻將是NGFW。